Grundlegendes zur Funktionsweise von State Manager - AWS Systems Manager
Verstehen, wann Zuordnungen auf Ressourcen angewendet werdenInformationen zu Zielupdates mit Automation-Runbooks

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Grundlegendes zur Funktionsweise von State Manager

State Manager, ein Tool in AWS Systems Manager, ist ein sicherer und skalierbarer Service, der den Prozess automatisiert, verwaltete Knoten in einer Hybrid- und Multi-Cloud-Infrastruktur in einem von Ihnen definierten Zustand zu halten.

So funktioniert State Manager:

1. Bestimmen Sie den Status, den Sie auf Ihre AWS-Ressourcen anwenden wollen.

Möchten Sie sicherstellen, dass Ihr verwaltete Knoten mit spezifischen Anwendungen, wie z. B. Antiviren- oder Malware-Anwendungen, konfiguriert ist? Möchten Sie die den Prozess zur Aktualisierung des SSM Agent oder andere AWS-Pakete wie z. B. AWSPVDriver automatisieren? Müssen Sie sicherstellen, dass bestimmte Ports geöffnet oder geschlossen sind? Für erste Schritte mit State Manager bestimmen Sie zunächst den Status, den Sie auf Ihre AWS-Ressource anwenden möchten. Der Status, den Sie anwenden möchten, legt fest, welches SSM-Dokument Sie verwenden können, um eine State Manager-Zuordnung zu erstellen.

Eine State Manager-Assoziation ist eine Konfiguration, die Sie Ihren AWS-Ressourcen zuweisen. Die Konfiguration definiert den Status, den Sie auf Ihren Ressourcen beibehalten möchten. Beispiel: Eine Zuordnung kann angeben, dass auf einem verwalteten Knoten Antiviren-Software installiert sein und ausgeführt werden muss oder dass bestimmte Ports geschlossen sein müssen.

Eine Assoziation gibt einen Zeitplan an, wann die Konfiguration und die Ziele für die Assoziation angewendet werden sollen. Beispielsweise könnte eine Zuordnung für Antivirensoftware einmal täglich auf allen verwalteten Knoten in einem AWS-Konto ausgeführt werden. Wenn die Software nicht auf einem Knoten installiert ist, könnte die Assoziation State Manager anweisen, sie zu installieren. Wenn die Software installiert ist, aber der Service nicht ausgeführt wird, könnte die Assoziation State Manager anweisen, den Service zu starten.

2. Stellen Sie fest, ob ein vorkonfiguriertes SSM-Dokument Ihnen bei der Erstellung des gewünschten Status in Ihren AWS-Ressourcen helfen kann.

Systems Manager umfasst Dutzende von vorkonfigurierten SSM-Dokumenten, die Sie verwenden können, um eine Zuordnung zu erstellen. Vorkonfigurierte Dokumente sind dafür vorbereitet, allgemeine Aufgaben wie das Installieren von Anwendungen, das Konfigurieren von Amazon CloudWatch, das Ausführen von AWS Systems Manager-Automatisierungen, das Ausführen der PowerShell und von Shell-Skripts und bei Active Directory den Beitritt von verwalteten Knoten zu einer Directory Service-Domain auszuführen.

Sie können alle SSM-Dokumente in der Systems Manager-Konsole anzeigen. Wählen Sie den Namen eines Dokuments an, um mehr darüber zu erfahren. Nachfolgend finden Sie zwei Beispiele: AWS-ConfigureAWSPackage und AWS-InstallApplication.

3. Erstellen einer Assoziation.

Sie können die Assoziation über die Systems Manager-Konsole, die AWS Command Line Interface (AWS CLI), AWS Tools for Windows PowerShell (Tools for Windows PowerShell) oder die Systems Manager API erstellen. Beim Erstellen einer Assoziation geben Sie die folgenden Informationen an:

  • Ein Name für die Assoziation.

  • Die Parameter für das SSM-Dokument (z. B. den Pfad zu der zu installierenden Anwendung oder zu dem Skript, das auf den Knoten ausgeführt werden soll).

  • Ziele für die Zuordnung. Sie können verwaltete Knoten als Ziel auswählen, indem Sie Tags angeben, einzelne Instance-IDs oder eine Gruppe in AWS Resource Groups wählen. Sie können auch alle verwalteten Knoten in der aktuellen AWS-Region und AWS-Konto als Ziel auswählen. Wenn Ihre Ziele mehr als 1 000 Knoten umfassen, verwendet das System einen stündlichen Drosselungsmechanismus. Das bedeutet, dass Sie möglicherweise Ungenauigkeiten bei der Anzahl Ihrer Statusaggregationen feststellen, da der Aggregationsprozess stündlich und nur dann ausgeführt wird, wenn sich der Ausführungsstatus für einen Knoten ändert.

  • Einen Zeitplan für die Häufigkeit der Statusanwendung. Sie können einen Cron- oder Rate-Ausdruck festlegen. Weitere Informationen zum Erstellen von Zeitplänen mit cron- und Rate-Ausdrücken für Zuordnungen finden Sie unter Cron- und Rate-Ausdrücke für Zuordnungen.

    Anmerkung

    State Manager unterstützt derzeit nicht die Angabe von Monaten in Cron-Ausdrücken für Assoziationen.

Wenn Sie den Befehl ausführen, um die Assoziation zu erstellen, bindet Systems Manager die von Ihnen angegebenen Informationen (Zeitplan, Ziele, SSM-Dokument und Parameter) an die anvisierten Ressourcen. Der Status der Zuordnung wird zunächst als „Pending (ausstehend)“ angezeigt, während das System versucht, alle Ziele zu erreichen und sofort den in der Zuordnung angegebenen Status anzuwenden.

Anmerkung

Wenn Sie eine neue Zuordnung erstellen, die ausgeführt werden soll, solange eine frühere Zuordnung noch ausgeführt wird, führt dies zu einer Unterbrechung der früheren Zuordnung und die neue Zuordnung wird ausgeführt.

Systems Manager meldet den Status der Anforderung zum Erstellen von Assoziationen auf den Ressourcen. Sie können Statusdetails in der Konsole oder (für verwaltete Knoten) mithilfe der API-Operation DescribeInstanceAssociationsStatus anzeigen. Wenn Sie die Ausgabe des Befehls beim Erstellen einer Zuordnung in Amazon Simple Storage Service (Amazon S3) auswählen, können Sie die Ausgabe auch im angegebenen Amazon S3-Bucket anzeigen.

Weitere Informationen finden Sie unter Arbeiten mit Zuordnungen in Systems Manager.

Anmerkung

API-Vorgänge, die während der Ausführung einer Zuordnung durch das SSM-Dokument initiiert werden, werden in AWS CloudTrail nicht protokolliert.

4. Überwachen und aktualisieren Sie.

Nach dem Erstellen der Zuordnung wendet State Manager den Status entsprechend des in der Zuordnung definierten Zeitplans erneut an. Sie können den Status Ihrer Zuordnungen auf der State Manager-Seite in der Konsole oder mit dem direkten Aufruf der Zuordnungs-ID anzeigen, die von Systems Manager beim Erstellen der Zuordnung generiert wurde. Weitere Informationen finden Sie unter Anzeigen von Zuordnungsverläufen. Sie können Ihre Zuordnungsdokumente aktualisieren und Sie bei Bedarf erneut anwenden. Sie können auch mehrere Versionen einer Zuordnung erstellen. Weitere Informationen finden Sie unter Bearbeiten und Erstellen einer neuen Version einer Zuordnung.

Verstehen, wann Zuordnungen auf Ressourcen angewendet werden

Wenn Sie eine Zuordnung erstellen, geben Sie ein SSM-Dokument an, das die Konfiguration, eine Liste der Zielressourcen und einen Zeitplan für die Anwendung der Konfiguration definiert. Standardmäßig führt State Manager die Zuordnung aus, wenn Sie sie erstellen und dann nach Ihrem Zeitplan. State Manager versucht auch, die Zuordnung in den folgenden Situationen auszuführen:

  • Zuordnung bearbeiten – State Manager führt die Zuordnung aus, nachdem ein Benutzer seine Änderungen bearbeitet und in einem der folgenden Zuordnungsfelder gespeichert hat: DOCUMENT_VERSION, PARAMETERS, SCHEDULE_EXPRESSION, OUTPUT_S3_LOCATION.

  • Dokumentbearbeitung – State Manager führt die Zuordnung aus, nachdem ein Benutzer Änderungen am SSM-Dokument, das den Konfigurationsstatus der Zuordnung definiert, bearbeitet und gespeichert hat. Insbesondere wird die Zuordnung nach den folgenden Änderungen am Dokument ausgeführt:

    • Ein Benutzer gibt eine neue $DEFAULT-Dokumentversion an, und die Zuordnung wurde mit der $DEFAULT-Version erstellt.

    • Ein Benutzer aktualisiert ein Dokument und die Zuordnung wurde mit der $LATEST-Version erstellt.

    • Ein Benutzer löscht das Dokument, das beim Erstellen der Zuordnung angegeben wurde.

  • Manueller Start – State Manager führt die Zuordnung aus, wenn sie vom Benutzer entweder über die Systems-Manager-Konsole oder programmgesteuert initiiert wird.

  • Zieländerungen – State Manager führt die Zuordnung aus, nachdem eine der folgenden Aktivitäten auf einem Zielknoten auftritt:

    • Ein verwalteter Knoten wird zum ersten Mal online geschaltet.

    • Ein verwalteter Knoten geht online, nachdem ein geplanter Zuordnungslauf verpasst wurde.

    • Ein verwalteter Knoten wird online gestellt, nachdem er länger als 30 Tage angehalten war.

       

    Anmerkung

    State Manager überwacht keine Dokumente oder Pakete, die in Zuordnungen in AWS-Konten verwendet werden. Wenn Sie ein Dokument oder Paket in einem Konto aktualisieren, führt die Aktualisierung nicht dazu, dass die Zuordnung im zweiten Konto ausgeführt wird. Sie müssen die Zuordnung im zweiten Konto manuell ausführen.

    Verhindern, dass Zuordnungen ausgeführt werden, wenn sich ein Ziel ändert

    In einigen Fällen möchten Sie möglicherweise nicht, dass eine Zuordnung ausgeführt wird, wenn sich ein Ziel, das aus verwalteten Knoten besteht, ändert, sondern nur gemäß dem angegebenen Zeitplan.

    Anmerkung

    Das Ausführen eines Automatisierungs-Runbooks ist mit Kosten verbunden. Wenn eine Zuordnung mit einem Automation-Runbook auf alle Instances in Ihrem Konto abzielt und Sie regelmäßig eine große Anzahl von Instances starten, wird das Runbook beim Start auf jeder der Instances ausgeführt. Dies kann zu erhöhten Automatisierungskosten führen.

    Um zu verhindern, dass eine Zuordnung ausgeführt wird, wenn sich die Ziele für diese Zuordnung ändern, aktivieren Sie das Kontrollkästchen Zuordnung nur im nächsten angegebenen Cron-Intervall anwenden. Dieses Kontrollkästchen befindet sich im Bereich Zeitplan angeben auf den Seiten Zuordnung erstellen und Zuordnung bearbeiten.

    Diese Option gilt für Zuordnungen, die entweder ein Automatisierungs-Runbook oder ein SSM-Dokument enthalten.

Informationen zu Zielupdates mit Automation-Runbooks

Damit Verknüpfungen, die mit Automation-Runbooks erstellt wurden, angewendet werden können, wenn neue Zielknoten erkannt werden, müssen die folgenden Bedingungen erfüllt sein:

  • Die Zuordnung muss durch eine Quick Setup-Konfiguration erstellt worden sein. Quick Setup ist ein Tool in AWS Systems Manager. Verknüpfungen, die von anderen Prozessen erstellt werden derzeit nicht unterstützt.

  • Das Automation-Runbook muss explizit auf den Ressourcentyp AWS::EC2::Instance oder AWS::SSM::ManagedInstance abzielen.

  • Die Zuordnung muss sowohl Parameter als auch Ziele angeben.

    In der Konsole werden die Felder Parameter und Ziele angezeigt, wenn Sie eine Ausführung mit Ratensteuerung wählen.

    Parameter- und Zieloptionen werden in der Konsole für die Ausführung von Ratensteuerungen angezeigt

    Wenn Sie die API-Aktionen CreateAssociation, CreateAssociationBatch oder UpdateAssociation verwenden, können Sie diese Werte mithilfe der Eingaben AutomationTargetParameterName und Targets angeben. In jeder dieser API-Aktionen können Sie auch verhindern, dass die Zuordnung bei jeder Änderung eines Ziels ausgeführt wird, indem Sie den ApplyOnlyAtCronInterval-Parameter auf true setzen.

    Informationen zur Verwendung der Konsole zur Steuerung der Ausführung von Zuordnungen, einschließlich Informationen zur Vermeidung unerwartet hoher Kosten für Automatisierungsausführungen, finden Sie unter Verstehen, wann Zuordnungen auf Ressourcen angewendet werden.